세계 최대 스팸봇넷인 Necurs가 최근 스팸메일 발송 방식을 이용하여 Swisscoin 가상화폐를 유포하는 것을 확인하였습니다. 이 봇넷은 주식추천에 관련된 대량의 스팸메일을 보내어 사용자들의 클릭을 유도하며, 이러한 방식을 보안연구원들은 pump-and-dump라고 부릅니다. 이 용어는 금융업계에서 사용하는 언어로, 스팸메일 발송자들이 특정 주식을 낮은 가격에 매수해 놓고, 해당 주식과 관련된 스팸메일을 대량으로 발송하여 주식의 가격이 상승하면 매도함으로서 차익을 얻는 방법을 뜻합니다. Necurs 봇넷은 수백만대의 좀비 PC로 이루어져 있을 것으로 추정되며, 이 봇넷은 몇년 동안 줄곧 "pump-and-dump"활동을 진행해 왔습니다. 하지만, 이 밖에도 Necurs는 Dridex 악성코드나 기타 ..

국내외 보안동향 2018. 2. 1. 09:30

New Rapidly-Growing IoT Botnet Threatens to Take Down the Internet 작년, 대규모 DDoS 공격을 실행해 인터넷 마비를 일으킨 가장 큰 IoT 기반의 악성코드인 Mirai가 등장하였습니다. 그리고 1년 후인 최근, 새로운 IoT 봇넷 악성코드가 급격히 증가하고 있습니다. ‘IoT_reaper’라 명명 된 이 새로운 악성코드는 지난 9월 30일 처음 발견 되었습니다. 이 악성코드는 IoT 기기의 더 이상 취약한 패스워드를 해킹하는 것에 의존하지 않습니다. 대신, 이는 다양한 IoT 기기의 취약점들을 이용하여 IoT 기기들을 봇넷 네트워크에 종속시킵니다. IoT_reaper 악성코드는 현재 다음 9개 제조사의 IoT 기기에 존재하는 취약점을 악용하고 있습니..

국내외 보안동향 2017. 10. 23. 17:00

WireX DDoS Botnet: An Army of Thousands of Hacked Android SmartPhones 공식 앱스토어에서 앱을 내려받아도 이제 더 이상 안전하다고 생각하면 안되겠습니다. 최근 여러 보안업체의 보안연구원들이 해킹 된 안드로이드 스마트폰 수만대로 이루어진 새로운 봇넷을 발견하였습니다. WireX라 명명 되고 “Android Clicker”라 탐지 되는 이 봇넷은 주로 구글 플레이 스토어를 통해 설치된 수백개의 악성코드들이 포함되어 있었습니다. 또한 이는 대규모의 어플리케이션 레이어의 DDoS 공격을 실행하도록 설계 되었습니다. Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru 등의 보안 및 인터..

국내외 보안동향 2017. 8. 29. 16:00

CDN과 Akamai가 를 발표하였습니다. Akamai는 전 세계 130개 국가에서 운영중인 233000대가 넘는 서버로 들어온 공격패킷 및 로그들을 분석하였습니다. 그 결과 1분기에 비해 DDoS 공격은 약 28% 상승하였다고 밝혔습니다. 공격 네트워크, 데이터계층을 타겟으로 하는 공격은 27% 증가하였고, reflection 공격은 21% 증가하였습니다. 각 산업들의 평균 공격횟수는 28% 증가하였으며, 게임업계가 가장 공격을 많이 받는 산업군 이였습니다. Akamai가 탐지한 DDoS 공격들 중에서, 게임업계가 차지하는 비율이 81%나 되었습니다. 2017년 2분기, 공격 목표들이 공격을 받는 횟수는 평균적으로 32번 증가하였으며, 그 중 모 게임 홈페이지는 558번의 공격을 받았습니다. 이는 즉 ..

국내외 보안동향 2017. 8. 29. 09:35

최근 Trickbot 뱅킹 악성코드가 Necus 봇넷의 도움을 받는 새로운 스팸 캠페인을 통하여 미국의 은행을 노리는 것으로 나타났습니다. 이 악성코드는 맞춤 리다이렉션 메쏘드를 도입하여 더욱 강력해졌습니다. 최근 보안연구원들은 새로운 Trickbot의 활동을 발견했습니다.연구원들에 따르면, 금주 초에 보고된 Trickbot 공격의 스팸 캠페인들은 지난 몇 달 동안 활성화 되어있었습니다. Trickbot은 2016년 중반부터 중간자 공격을 담당해 왔으나, 이 악성코드의 webinject 구성은 미국 이외의 금융 기관들만을 타겟으로 했었습니다. 하지만 Necurs 봇넷의 도움을 받아, webinject의 구성을 확장시켜 국제 및 미국의 금융 기관들까지도 타겟으로 하도록 개발되었습니다. 연구원들은 Necur..

국내외 보안동향 2017. 7. 25. 11:29

Stantinko botnet was undetected for at least 5 years while infecting half a million systems 최근 보안연구원들은 Stantinko라 명명 된 거대한 봇넷을 발견했습니다. 이 봇넷은 최소 5년동안 탐지되지 않았으며, 전 세계 약 50만대의 컴퓨터들을 감염시킨 것으로 확인되었습니다. 이 봇넷의 운영자들은 해적판 소프트웨어를 찾는 러시아와 우크라이나 사용자들을 타겟으로 지난 2012년부터 대규모 광고 캠페인을 벌여왔습니다. 공격자들은 사용자 컴퓨터에 다양한 프로그램을 설치하고, 백그라운드에서는 Stantinko를 실행하는 FileTour라는 프로그램을 사용하여 컴퓨터들을 감염시켰습니다. 보안 연구원들은 "Stantinko 악성코드가 다양한..

국내외 보안동향 2017. 7. 24. 16:41

디도스 공격으로 미국 동부 지역 인터넷 마비시킨 ‘미라이’ 악성 파일, 국내서도 발견! ▲ 한국의 특정 웹 서버에서 발견된 미라이 악성 파일 내부 화면 안녕하세요. 알약입니다. 지난해 10월 미국 동부 지역 인터넷 마비 사태를 일으킨 디도스(DDoS) 공격의 근원으로 지목되는 ‘미라이(Mirai)’ 악성 파일이 국내에서도 다수 발견되었습니다. 전산 담당자 등 관련 분야 관리자들의 각별한 주의가 필요합니다. ※ 관련 포스팅 : 세계에서 가장 큰 규모의 DDoS 공격에 사용된 IoT 봇넷 소스코드, 온라인에 공개돼 국내 특정 웹 서버에서 다수 발견된 미라이 악성 파일은 사물인터넷 기기를 좀비로 만들어 네트워크상에서 해커가 마음대로 제어할 수 있게 하는 봇넷(BotNet)의 일종입니다. 이는 지난해 하반기 해..

이스트시큐리티 소식 2017. 1. 25. 14:00

2016 봇넷 연구 보고서 2015년 7월, 많은 공격자들이 LizardStresser 툴을 통해 Lizard Squad 해커조직이 만든 봇넷을 활용한 DDoS 공격을 거행했습니다. 그리고 2016년에 들어, 8월에는 Twitter를 통해 제어당하는 안드로이드 기반의 봇넷이 발견되었습니다. 이후 9월 말에는 감염에 성공한 사물인터넷으로 봇넷을 만들어 DDoS 공격을 수행할 수 있는 Mirai 악성코드의 소스코드가 공개되었습니다. 10월에는 100,000대의 좀비 PC로 이루어진 거대한 봇넷이 DNS 서비스업체인 Dyn을 공격하여 Airbnb, Etsy, Pinterest, Amazon, PayPal, Twitter 등 유명 사이트들의 서비스가 중단되는 상황이 발생했습니다. 봇넷이란 무엇인가? 봇넷은 좀비..

악성코드 분석 리포트 2017. 1. 23. 10:02